Documentos obligatorios en ISO/IEC 27001

Documentos obligatorios en ISO/IEC 27001: por qué son importantes y cuáles son requeridos

Los documentos obligatorios en ISO/IEC 27001 ocupan ocupan un lugar privilegiado en la lista de verificación del auditor encargado de evaluar un Sistema de Gestión de Seguridad de la Información basado en este estándar.

Este énfasis en la documentación es una respuesta a la creciente preocupación de las organizaciones por la seguridad de su información. Las brechas de seguridad y las violaciones de privacidad no solo tienen un impacto financiero significativo, sino que también pueden dañar irreparablemente la reputación de una entidad.

Leer más
Actualización a ISO 27001:2022

Actualización a ISO 27001:2022 del sistema de gestión de seguridad de la información: 7 pasos...

En un mundo digitalmente interconectado y en constante evolución, la Seguridad de la Información se ha convertido en un pilar fundamental para las organizaciones que buscan proteger sus activos más valiosos. En este contexto, la actualización a ISO 27001:2022 proporciona un marco sólido para la búsqueda constante de la excelencia en este ámbito crucial.

Así, las organizaciones que implementaron el estándar tienen tres años, contados a partir de octubre de 2022, para culminar la actualización a ISO 27001:2022.

Leer más
riesgos de la información

Los 5 principales riesgos de la información que enfrentan las organizaciones sin un SGSI

Las organizaciones cada vez necesitan gestionar más riesgos de la información. Estas amenazas tienen origen en fuentes diversas, pero todas tienen algo en común: tienen el poder de afectar activos valiosos para la organización, degradar la reputación o, incluso, paralizar la operación.

Algunas organizaciones optan por implementar un Sistema de Gestión ISO 27001 para tratar los riesgos de la información, entendiendo los beneficios notables que un estándar con reconocimiento internacional puede aportar en eficiencia, productividad y generación de resultados efectivos.

Leer más
investigar un ciberataque

Cómo investigar un ciberataque: guía de 5 pasos para la investigación de incidentes cibernéticos

Investigar un ciberataque es una tarea que necesita ser definida, estandarizada y comunicada. Los ataques cibernéticos exponen información confidencial o privilegiada de la organización, pero también pueden hacer públicos datos de clientes o terceros que se rigen por lo determinado en regulaciones como el RGPD.

Los profesionales en Seguridad de la Información y los del área de TI, en primer lugar, deben afinar sus competencias y habilidades para investigar un ciberataque de forma inmediata.

Leer más
Alcance de ISO 27001

Alcance de ISO 27001: cómo definirlo correctamente y errores a evitar

La definición del alcance de ISO 27001 es uno de los primeros requisitos que establece la norma de seguridad de la información. En la cláusula 4.3 del estándar se requiere a las organizaciones “determinar los límites dentro de los cuales operará el sistema y tendrá aplicación”.

Para hacerlo – determinar el alcance de ISO/IEC 27001 – la norma aclara que es preciso tener en cuenta los requisitos previos de contexto de la organización (4.1) y necesidades de las partes interesadas (4.2).

Leer más
auditoría de un SGSI

Buenas prácticas para mejorar la auditoría de un SGSI según ISO 27001

En nuestro artículo previo acerca de los pasos a seguir para realizar la auditoría de un SGSI explicamos, por un lado, los factores a considerar para preparar la auditoría interna al Sistema de Gestión de Seguridad de la Información. Y, por otro, la secuencia de actividades a seguir para hacerla efectiva.

En esta ocasión, ampliamos esta información preliminar con recomendaciones útiles para optimizar el resultado de la auditoría de un SGSI en la práctica.

Leer más
Formación en ciberseguridad

Formación en ciberseguridad para pequeñas empresas: 4 aspectos clave sobre los que formarse

La Seguridad de la información y, por ende, la formación en ciberseguridad, no son preocupaciones exclusivas de las grandes corporaciones. Aunque el interés de los medios se enfoca en las infracciones que afectan a grandes organizaciones, lo cierto es que la preocupación debería que ser mayor para las pequeñas y medianas empresas.

Hay varias razones para que sea así. Y una de ellas es el bajo número de pequeñas empresas que invierten en formación en ciberseguridad para sus empleados.

Leer más